Lange wurde über dieses Thema in Deutschland debattiert. Nachdem im Oktober 2019 der EuGH entschied, urteilte nun auch der BGH. Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Ein voreingestelltes Ankreuzkästchen genügt nicht mehr. Rechtsanwalt Christian Solmecke erläutert die Hintergründe und Konsequenzen.

Der Europäische Gerichtshof (EuGH) hatte im Oktober 2019 nach Anruf des Bundesgerichtshofs (BGH) zu umstrittenen Fragen des Schutzes der Privatsphäre im digitalen Raum sowie auch im Datenschutzrecht Klarheit geschaffen (Urt. v. 1.10.2019, Az. C-673/17).

  • Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung. Auch die Betätigung einer Schaltfläche für die Teilnahme an einem Gewinnspiel sei keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies.
  • Diese Vorgaben zur Einwilligung gelten sowohl für die ePrivacy- bzw. Cookie Richtlinie, als auch für die Datenschutzgrundverordnung (DSGVO). Diese drei Gesetze sind einheitlich auszulegen.
  • Darüber hinaus müssten die Webseiten in diesen Fällen gegenüber den Nutzern u. a. über Angaben zur Funktionsdauer der Cookies informieren und sagen, ob Dritte auf den Cookie Zugriff erhalten.
  • Schließlich ist es für die Anwendbarkeit von Art. 5 Abs. 3 der ePrivacy-Richtlinie irrelevant, ob mit dem gesetzten Cookie nun personenbezogene Daten erhoben werden oder nicht – sie gilt in beiden Fällen.

Daraufhin hatte der BGH bereits am 30.01.2020 die mündliche Verhandlung in dem Rechtsstreit fortgesetzt.

Am 28. Mai 2020 entschied der BGH nun erwartungsgemäß, dass derjenige, der Cookies auf Internetseiten setzen will, in jedem Fall die aktive Zustimmung des Nutzers benötige. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen. Damit hat er zugleich Cookie-Banner für unrechtmäßig erklärt, wenn diese nur „weggeklickt“ werden können (Az. I ZR 7/16). 

Der Vorsitzende Richter hatte bereits in der mündlichen Verhandlung auf das deutsche Telemediengesetz (TMG) hingewiesen, welches im Gegensatz zur EU-Richtlinie eine Widerspruchslösung vorsieht. Der BGH hält es aber für möglich, das deutsche Recht richtlinienkonform auszulegen und fortzubilden. Denn im Fehlen einer (wirksamen) Einwilligung könne im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Damit ist klar: Das Urteil wird große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Es wird sich zeigen, ob dies das Geschäftsmodell der personalisierten Werbung abseits von Login- und Abo-Diensten ins Wanken bringen wird. Nun muss zunächst einmal die Urteilsbegründung abgewartet werden, doch Betroffene sollten sich dringend rechtlich beraten und absichern lassen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Hintergründe zum Fall

Geklagt hatte der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv). Im Jahr 2013 hatte die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet. Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, sollten darüber ihre Einwilligung in das Speichern von Cookies zu Werbezwecken erklären.

Der Fall ging zum BGH, der dem EuGH zunächst grundlegende Fragen zur Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation stellte (Az. I ZR 7/16). Diese lauteten sinngemäß:

  • Handelt es sich um eine wirksame Einwilligung im Sinne der (alten) Datenschutz-Richtlinie sowie der (noch gültigen) ePrivacy-Richtlinie, wenn das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  • Macht es bei der Anwendung des Art. 5 Abs. 3 der ePrivacy-Richtlinie i.V.m. der alten Datenschutz-Richtlinie einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  • Liegt unter den Umständen, wie sie in diesem Fall vorlagen, eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung (DSGVO) vor?
  • Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der ePrivacy-Richtlinie vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Für die Beurteilung der Rechtmäßigkeit des Gewinnspiels in der Vergangenheit musste der EuGH die Frage anhand der ePrivacy- bzw. Cookie-Richtlinie (2002/58/EG) und der Datenschutzrichtlinie (Richtlinie 95/46/EG) beurteilen. Da es sich um einen Sachverhalt handelte, für den der vzbv Unterlassung im Hinblick auf die Zukunft verlangte, war auch die jetzige Rechtslage für die Entscheidung relevant. Hier war der Sachverhalt an der ePrivacy-Richtlinie und der Datenschutzgrundverordnung (DSGVO) zu messen.

Sie haben eine Pressefrage an uns?

Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.

Cookies und ihre rechtliche Einordnung im EU-Recht

Zum Hintergrund: Bei Cookies handelt es sich um kleine Textdateien zur Erkennung von Nutzern. Anbieter einer Website speichern sie auf dem Computer des Nutzers. Es gibt verschiedene Arten von Cookies.

Zunächst einmal sammeln, wie der EuGH klarstellt, nicht alle Cookies sog. personenbezogene Daten, für die auch das Datenschutzrecht relevant ist. Im vorliegenden Fall konnten die gesammelten Informationen wegen einer Verknüpfung mit den Registrierungsdaten der Gewinnspielteilnehmer zwar auf Personen zurückbezogen werden. Cookies können aber auch anonym gesetzt werden, sodass sie zwar über eine Cookie-ID bzw. andere Online-Kennungen zurückverfolgbar sind, sich aber nicht auf eine konkrete Person beziehen. Der EuGH hat hierzu entschieden, dass es für die Anwendbarkeit von Artikel 5 Abs. 3 der ePrivacy-Richtlinie irrelevant ist, ob Cookies nun einen Personenbezug haben oder nicht. Das Unionsrecht solle den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen, so die Luxemburger Richter. Das bedeutet aber auch: Wenn die Cookies gerade keinen Personenbezug haben, kann alleine die ePrivacy-Richtlinie gelten und die DSGVO kann keine Anwendung finden.

Auch die Funktion der Cookies unterscheidet sich: Manche erleichtern Nutzern die Bedienung einer Webseite (z.B. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden) bzw. die Seite kann ohne sie nicht betrieben werden. Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren. Artikel 5 Abs. 3 der ePrivacy-Richtlinie unterscheidet zwischen diesen Formen der Cookies, zieht aber keine genaue Grenze:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Große Tracking-Anbieter wie Google Analytics nutzen Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten zentral zu erfassen. Auch die Cookies in diesem Fall dienten zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Die deutsche Rechtslage zu Cookies

Bislang war die Rechtslage im Hinblick auf Cookies in Deutschland recht verworren. Denn Artikel 5 Absatz 3 der ePrivacy-Richtlinie von 2009, der ja (s.o.) eine explizite Einwilligung bei Cookies fordert, ist in Deutschland nie richtig umgesetzt worden. Nach dem deutschem § 15 Absatz 3 Telemediengesetz (TMG) von 2007 genügt ein „Opt Out“:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Die deutsche Regierung war aber immer der Ansicht, dass die deutsche Rechtslage dennoch ausreicht und änderte das deutsche Recht nicht. Diese Rechtslage führte zu den berühmten „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

Der deutsche Sonderweg war lange kritisiert worden. Klarheit sollte erst die europäische ePrivacy-Verordnung bringen, die ursprünglich gemeinsam mit der DSGVO am 25. Mai 2018 gelten sollte, bislang aber noch in Verhandlung ist.

Im vergangenen Jahr hatte der EuGH dem deutschen Sonderweg schon vorher eine Absage erteilt. Unklar ist allerdings, zu welchen Auswirkungen das führen wird. Denn was der EuGH nicht entschieden hat:

  • Was bedeutet das Ganze für Deutschland, wo Art. 5 der ePrivacy-Richtlinie vom Gesetzgeber nicht richtig umgesetzt worden ist?
  • Wann ist eine Einwilligung in Cookies (auch) nach der DSGVO erforderlich?
  • Darf der Webseitenbetreiber Nutzern den Zugang zur Webseite versagen, wenn diese keine Einwilligung für die Verwendung von Cookies erteilen oder greift hier das Kopplungsverbot der DSGVO?

Nach der Entscheidung des EuGH über die Vorlagefragen musste nunmehr der BGH in der Sache entscheiden.

Wir sind bekannt aus

Die BGH-Entscheidung – Ab sofort echte Einwilligung

EuGH: Einbettung des Facebook-Like-Buttons rechtswidrig

Die EuGH-Entscheidung kam nicht überraschend. Ihre Meinung hatten die EuGH-Richter ja schon im Urteil zum Facebook-Like-Button (Urt. v. 29.07.2019, Az. C-40/17) zur ePrivacy-Richtlinie kundgetan.

Jetzt konnten sie endlich vollkommen Klartext reden und dem bisherigen deutschen Sonderweg eine Absage erteilen. Bislang beriefen sich viele Seitenbetreiber immer noch auf § 15 Abs. 3 Telemediengesetz (TMG), der noch ein „Opt-Out“ für einwilligungspflichtige Cookies erlaubt. Dieser Paragraph ist auch trotz des EuGH-Urteils noch in Kraft. Die EU-Richtlinie, zu der sich der EuGH geäußert hat, gilt nicht direkt in Deutschland.  

Der Ball lag damit wieder beim BGH. Bereits laut seinem Vorlagebeschluss plante der BGH, die Regelungen des deutschen TMG entsprechend der ePrivacy-Richtlinie richtlinienkonform auszulegen. Erwartungsgemäß kam der BGH daher in seinem Urteil nun auch genau zu diesem Ergebnis: Das TMG muss in Bezug auf das Einwilligungserfordernis europarechtskonform ausgelegt werden.

Das Problem dabei ist jedoch, dass der Wortlaut eklatant der Vorlage in Artikel 5 Abs. 3 ePrivacy-Richtlinie widerspricht, sodass eine solche Auslegung eigentlich kaum möglich ist. Eine direkte Anwendung der ePrivacy-Richtlinie ist jedoch in diesem Fall auch nicht möglich, weil die Rechtsprechung des EuGH zur unmittelbaren Wirkung von Richtlinien nur gilt, wenn es um das Verhältnis zwischen dem Bürger und dem Staat geht – nicht aber bei Rechtsverhältnissen der Bürger untereinander. Hier sind aber Internetanbieter angesprochen. Somit gäbe es dann eine Rechtslücke, die erst der Gesetzgeber schließen kann.

Auch wenn sich die BGH-Auslegung aus dem Wortlaut des Gesetzes nicht ergibt, gilt somit dennoch ab sofort ein „echtes“ Einwilligungserfordernis im Sinne eines opt-in. Hier hat sich der BGH als letztinstanzliches Gericht die Freiheit genommen, dies so zu entscheiden. Einwilligungskästchen müssen also vom Nutzer aktiv angekreuzt werden, die bloße Bestätigung vorangekreuzter Felder genügt nicht.

Das hört sich zwar nachvollziehbar an, dürfteWebseitenanbieter allerdings in der Umsetzung vor erheblich praktische Probleme stellen, denn Cookie-Schaltflächen sind als solche auf Webseiten zwar mittlerweile üblich, doch bei der Ausgestaltung hapert es vielfach. 

Es ist nun aber davon auszugehen, dass das deutsche TMG entsprechend der Richtlinie (und dem EuGH- und BGH-Urteil) angepasst wird und künftig ein Cookie-Opt-in fordern wird. Die konkreten Einzelheiten sind allerdings noch offen.

Stand jetzt gilt wohl jedoch bereits, dass zumindest für Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie bedarfsgerechten Gestaltung von Telemedien dienen, Einwilligungen der Nutzer eingeholt werden müssen.

Wann Cookies jedoch unbedingt erforderlich sind und keiner Einwilligung bedürfen und wann Cookies zwingend erforderlich sind, ist komplex, da es keinen einheitliche Katalog hierzu gibt. Unsere Rechtsexperten stehen Ihnen aber gerne jederzeit beratend zur Verfügung.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Zweite Einwilligung ebenfalls rechtswidrig

Ebenfalls für Zündstoff dürfte der Umstand sorgen, dass der BGH auch eine zweite Einwilligung von Planet 49 für rechtswidrig erachtete.

Mit dieser zweiten Einwilligung sollten Teilnehmer des Gewinnspiels bestätigen, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Der BGH aber ließ für die Werbeeinwilligung eine Verlinkung auf die Liste nicht genügen, denn diese Form der Gestaltung sei gerade zu darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren. In dieser Form jedoch sei dann die für die Einwilligung notwendige Informiertheit nicht gegeben.

Damit ist klar: Auch wenn heute noch zahlreiche Cookie-Banner mit einer solchen Verweistechnik arbeiten, dürfte dies dennoch künftig wohl ebenfalls nicht mehr zulässig sein.  

Einwilligungen werden Pflicht – was ändert sich?

Durch das BGH-Urteil ist klar: Alle nicht unbedingt erforderlichen Cookies erfordern eine aktive Einwilligung, was neue Fragen aufwirft.

Da der BGH nur in diesem speziellen Fall entschied, bleibt zukünftig von den Datenschutzbehörden und letztlich den Gerichten zu klären, wann Cookies „unbedingt erforderlich“  sind – und wann nicht. Vieles spricht dafür, dass sowohl technisch notwendige als auch andere Cookies anzusehen, die im Interesse des Nutzers sind, als „erforderlich“ anzusehen sind. Zu letzteren zählen insbes. Session-Cookies. Cookies für Werbe- bzw. Marketingzwecke werden jedoch zukünftig wahrscheinlich eine Einwilligung benötigen. Dies könnte auch beim sog. Tracking der Fall sein wie etwa bei Google Analytics. 

Damit müssen sehr viele Seiten-Betreiber ihre Cookie-Banner ändern. Nutzer müssen somit künftig die Möglichkeit haben, aktiv in „nicht notwendige“ Werbe- und Tracking Cookies einzuwilligen. Hier gilt es, in Zusammenarbeit mit den Datenschutzbehörden praxistaugliche Lösungen u.a. für folgende Fragen zu finden:

  • Wie müssen solche Banner letztlich aussehen? Müssen Nutzer einen einzelnen Haken für jedes Cookie setzen? Ist eine gewisse Form der Voreinstellung doch möglich?
  • Wie detailliert müssen die Informationspflichten erfüllt werden?
  • Wäre eine Kopplung an die Nutzung eines Dienstes erlaubt? Hierzu hat weder der EuGH noch der BGH entschieden. Die DSGVO legt aber nahe, dass eine solche Kopplung nicht zulässig wäre.
  • Darüber hinaus muss eine Lösung gefunden werden, wie Seitenbetreiber es den Nutzern ermöglichen können, die einmal erteilte Einwilligung jederzeit widerrufen zu können.

ahe/tsp

Zur Information: Der Beitrag wurde erstmals am 01.10.2019 veröffentlicht und am 27.01.2020 sowie am 28. Mai aktualisiert.